Re: SSD-Festplattenverschluesselung

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Tue, 25 Sep 2012 17:01:48 +0200 (CEST)

Peter Ross wrote:
> nur eine kurze Frage, angeregt durch die Datenentsorgungsdiskussion
> zuletzt, und einen Heise-Artikel ber eine SSD-Platte, die
> AES-Verschlüsselung anbietet:
>
> http://www.heise.de/newsticker/meldung/Samsung-SSD-840-Pro-Schneller-und-stromsparender-1715212.html
>
> Wie wird der Schlüssel gehandhabt?

Gar nicht. :-)

> Ist das Feature unter FreeBSD nutzbar?

Da man nichts Spezielles machen muss, ist es vom Betriebs-
system völlig unabhängig.

Die Verschlüsselung wird in dem Artikel nur am Rande erwähnt,
daher ist es nicht ganz eindeutig, aber vermutlich ist SED
gemeint (self-encrypting drive), auch Hardware-FDE genannt
(full-drive encryption). Das wird schon seit einiger Zeit
von diversen Festplatten und auch SSDs gemacht (meist "nur"
AES-128). Vom Hersteller wird dabei werksseitig ein Key
eingestellt (für jedes Laufwerk natürlich ein anderer).

Mit anderen Worten: Diese Laufwerke verschlüsseln die Daten
*immer*, man braucht es nicht einzuschalten, und man kann es
auch nicht ausschalten. Es passiert vollkommen transparent.

Bei manchen Laufwerken gibt es auch die Möglichkeit, den Key
zu ändern. Wenn ich mich richtig erinnere, gibt es z.B. von
Seagate ein Windows-Tool dafür. Aber notwendig ist das
eigentlich nicht.

Da bei SED transparent ver- und entschlüsselt wird, nützt
das natürlich nur dann etwas, wenn man zusätzlich auch den
Zugriff per ATA Security Password beschränkt. Dies erfordert
BIOS-Support, um beim Booten das Passwort abzufragen und an
das Laufwerk zu senden. Gesetzt werden kann das Passwort
ebenfalls per BIOS (wenn es eine solche Funktion hat), oder
auch per ATA-Command vom Betriebssystem aus. Auch hierfür
gibt es Tools von verschiedenen Herstellern, unter Linux
kann man es mit hdparm machen, und unter FreeBSD theoretisch
mit camcontrol. Habe ich aber noch nicht ausprobiert.

Es ist wichtig, sich klarzumachen, dass SED und ATA Security
zwei verschiedene Dinge sind, die unabhängig voneinander
funktionieren, sich aber so ergänzen, dass sie gemeinsam
Sinn ergeben. Ersteres verschlüsselt den Datenträger
(zwischen Laufwerkscontroller und physikalischem Speicher,
d.h. Magnetplatten bzw. Flash-Zellen), letzteres regelt
den Zugriff vom Host auf den Laufwerkscontroller.

Man muss allerdings hinzufügen, dass ATA Security ein paar
Schwachpunkte hat, die unter bestimmten Umständen theoretisch
eine Umgehung des Passworts ermöglichen. Falls es einem
nicht sicher genug ist, muss man dann doch zu einer Software-
lösung wie GELI greifen.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M.
Handelsregister: Registergericht Muenchen, HRA 74606,  Geschäftsfuehrung:
secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün-
chen, HRB 125758,  Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart
FreeBSD-Dienstleistungen, -Produkte und mehr:  http://www.secnetix.de/bsd
"To this day, many C programmers believe that 'strong typing'
just means pounding extra hard on the keyboard."
        -- Peter van der Linden
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 25 Sep 2012 - 17:02:00 CEST

search this site